윈도우 서버 W-41 보안감사를 로그할 수 없는 경우 즉시 시스템 종료

윈도우 서버 W-41 보안감사를 로그할 수 없는 경우 즉시 시스템 종료

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : ‘보안 감사를 로그할 수 없는 경우 즉시 시스템 종료’ 정책 설정 여부 점검

▶ 점검목적 :  해당 정책을 비활성화 함으로써 로그 용량 초과 등의 이유로 이벤트를 기록할 수 없는 경우, 해당 정책으로 인해 시스템이 비정상적으로 종료되는 것을 방지하기 위함

▶ 보안위협

 · 해당 정책이 활성화 되어 있는 경우 악의적인 목적으로 시스템 종료를 유발하여 서비스 거부 공격에 악용될 수 있으며, 비정상적인 시스템 종료로 인하여 시스템 및 데이터에 손상을 입힐 수 있음

▶ 참고

※ 일반적으로 보안 감사 로그가 꽉 찼을 때 보안 로그에 대한 보존 방법이 [이벤트를 덮어쓰지 않음] 또는 [매일 이벤트 덮어쓰기]인 경우 이벤트가 로그되지 않음. 보안 로그가 꽉 차고 기존 항목을 덮어쓸 수 없을 때 해당 정책을 사용하는 경우 다음과 같은 중지 오류가 나타남

중지: C0000244 {감사 실패}

보안 감사를 만들려고 했으나 만들지 못했습니다.

복구하려면 관리자가 로그온하여 로그를 보관한 다음 로그를 지우고 이 옵션을 원하는 대로 다시 설정해야 합니다. 이 보안 설정을 다시 설정할 때까지는 보안 로그가 꽉 차지 않았더라도 Administrators 그룹의 구성원이 아니면 어떤 사용자 도 시스템에 로그온할 수 없습니다.

 

 

2. 점검대상 및 판단 기준

▶  대상 :  Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : “보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책이 “사용 안 함”으로 되어 있는 경우

 · 취약 : “보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책이 “사용”으로 되어 있는 경우

▶  조치방법 : 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 -> 사용 안 함

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
2) “감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책을 “사용 안 함” 으로 설정

 

사용안함으로 되어있습니다

 

양호입니다

 

4. 조치

사용안함으로 설정해주면되는데.. 기본적으로 설정에 주의를 기울이도록 아래 중요 문구가 적혀있습니다.

혹시라도 사용으로 하시려면 신중하게 선택하시면될 것 같습니다.

5. 결과

양호입니다!

윈도우서버를 마스터하는 그날까지

화이팅!